跨域轻松搞定：不到50行代码玩转CORS

跨域的烦恼：告别受限资源，迎接数据无缝交换

什么是跨域？

当你浏览网页时，浏览器出于安全考虑，限制了来自一个网站对来自另一个网站资源的访问。这就是跨域，它像一道虚拟的墙，阻碍了不同网站之间的资源共享。

常见跨域问题

在前端开发中，跨域问题如影随形：

• 从网站A获取网站B的数据
• 从网站A提交表单到网站B
• 从网站A在网站B设置Cookie

这些操作都会触发浏览器跨域限制，导致错误。

CORS：跨域解决方案

CORS（跨域资源共享）是一种W3C标准，允许浏览器在特定情况下绕过跨域限制。它通过在服务器端设置HTTP头部字段来实现。

HTTP头部字段详解

• Access-Control-Allow-Origin： 指定允许访问该资源的网站
• Access-Control-Allow-Methods： 指定允许使用的HTTP方法
• Access-Control-Allow-Headers： 指定允许携带的HTTP头部字段
• Access-Control-Max-Age： 指定预检请求的有效期（预检请求用于验证跨域请求的合法性）

使用Hapi框架测试CORS

Hapi是一个流行的Node.js框架，我们可以用它来搭建一个简单的服务器并测试CORS头部字段。

const Hapi = require('hapi');

const server = new Hapi.Server({
  host: 'localhost',
  port: 8000
});

server.route({
  method: 'GET',
  path: '/api/data',
  handler: (request, h) => {
    return 'Hello World!';
  },
  config: {
    cors: {
      origin: ['*'],
      headers: ['*'],
      methods: ['GET']
    }
  }
});

server.start((err) => {
  if (err) {
    throw err;
  }

  console.log(`Server running at: ${server.info.uri}`);
});

在这个服务器中，我们配置了CORS头部字段，允许来自任何网站、使用GET方法、携带任何HTTP头部字段的请求访问/api/data路由。

使用Fetch API测试CORS

Fetch API是一个前端开发中常用的异步请求API。我们可以用它来发送跨域请求并测试CORS头部字段是否有效。

fetch('http://localhost:8000/api/data', {
  method: 'GET',
  headers: {
    'Content-Type': 'application/json'
  }
})
.then((response) => {
  console.log(response);
})
.catch((error) => {
  console.log(error);
});

这个请求向我们的服务器发送了一个GET请求，并设置了Content-Type头部字段。

测试结果

运行服务器并执行Fetch API请求后，我们可以看到服务器返回了响应，表明CORS头部字段设置有效。

总结

跨域是一个常见的前端开发问题，但可以通过CORS标准和HTTP头部字段来解决。本文介绍了跨域的概念、常见问题、CORS解决方案，并通过Hapi框架和Fetch API演示了如何测试CORS。

常见问题解答

1. 什么是预检请求？

   预检请求是浏览器在发送实际跨域请求之前发送的一个额外请求，用于验证服务器是否允许该跨域请求。

2. Access-Control-Max-Age头部字段有什么用？

   它指定了预检请求的有效期，在此期间浏览器可以重用预检请求的结果，而不需要发送新的预检请求。

3. 为什么使用CORS而不是JSONP？

   CORS是一种更现代、更强大的解决方案，支持更广泛的请求类型和HTTP头部字段。

4. CORS有哪些局限性？

   CORS不能用于从不同协议（例如HTTP和HTTPS）的网站获取资源。

5. 如何解决与CORS相关的错误？

   首先检查服务器是否正确设置了CORS头部字段。如果设置正确，请检查浏览器是否支持CORS。最后，确保请求满足CORS要求（例如，来自允许的源，使用允许的方法）。